CVE-2024-56515

Nome do Software Vulnerável e Versões Afetadas Versões do Matrix Media Repo anteriores à 1.3.8

Descrição O problema ocorre quando os geradores de miniaturas SVG ou JPEGXL estão habilitados, permitindo que um usuário envie um arquivo que se declara ser um desses tipos e solicite uma miniatura, potencialmente invocando um decodificador diferente no ImageMagick. Isso pode incluir a capacidade de executar o Ghostscript para decodificar a imagem/arquivo em algumas instalações do ImageMagick. Da mesma forma, se os geradores de miniaturas MP4 estiverem habilitados, o mesmo problema pode ocorrer com a instalação do ffmpeg. O Matrix Media Repo utiliza vários decodificadores para outros tipos de arquivo ao preparar miniaturas e, embora problemas teóricos sejam possíveis com esses decodificadores, não se verificou que fossem exploráveis durante os testes.

Recomendações Para versões anteriores à 1.3.8, desabilite os tipos de miniatura SVG, JPEGXL e MP4 na configuração do Matrix Media Repo para impedir que os decodificadores sejam invocados. Desabilite também tipos de arquivo incomuns no servidor para limitar a superfície de risco. Considere utilizar contêineres ou tecnologias similares para limitar o impacto de vulnerabilidades em decodificadores externos como ImageMagick e ffmpeg. Se possível, replique a opção de desabilitar tipos de arquivo "inseguros", como PDFs, em outros ambientes, conforme necessário. Observe que a imagem Docker do Matrix Media Repo desabilita PDFs e formatos similares por padrão.